NIS2 megfelelőség

ISO 27001 és NIS2: A kapcsolat, a hiányosságok és az útvonal a teljes megfelelőséghez

Az ISO 27001 tanúsítás az információbiztonság alapja, de önmagában nem biztosítja a teljes NIS2 megfelelőséget. Ebben az útmutatóban megtudhatja, hogyan működnek együtt, mely területeken kell további lépéseket tenni, és miért érdemes mindkettőt megvalósítani.

Ingyenes NIS2 felmérés →

Mi az ISO 27001 és hogyan kapcsolódik a NIS2-höz?

Az ISO 27001:2022 egy nemzetközi szabvány az információbiztonság irányítási rendszere (ISMS) megvalósításához. Meghatározza az szervezeteknek szükséges eljárásokat az adatok és rendszerek védelmében. Magyarország számára kritikus tény: az ISO 27001 körülbelül 70%-ban fedezi a NIS2 Direktíva 21. cikkének követelményeit.

Ez azonban nem teljes helyettesítés. Az ISO 27001 az információbiztonság technikai és szervezeti kontrolljára összpontosít, míg a NIS2 számos további kötelezettséget is tartalmaz. A tanúsítás azonban drasztikusan csökkenti az átfogó megfelelőség szükséges erőfeszítéseit, és komoly körkép nyújt az ajánlott biztonsági gyakorlatokról.

Magyarországi vállalatok számára az ISO 27001:2022 tanúsítása egy jó kiindulópont, amely csökkenti a bírságozás kockázatát, javítja a nagyvállalati szerződések nyerésének esélyét, és akár 10-15%-kal csökkentheti a kiberbiztonsági biztosítás díját.

A 4 kritikus hiányosság: Mit nem fed az ISO 27001?

Noha az ISO 27001 szilárd alapot nyújt, a NIS2 teljes megfelelőséghez szükséges további lépések az alábbi területeken:

Kötelező incidensbejelentési időhatárok: NIS2 követelmény a 24 órás kezdeti bejelentés és a 72 órás részletes jelzés az illetékes hatóság felé. Az ISO 27001 csak az incidenskezelési folyamatot írja elő, de nem tartalmazza ezeket az időhatárokat.
Nemzeti hatósággal való regisztráció: Magyarországon az NMHH felé be kell jelentkezni. Az ISO 27001 ezt nem fedezi.
Nemzetközi együttműködési kötelezettségek: NIS2 megköveteli az információmegosztást az EU tagállamok között, amit az ISO 27001 nem szabályoz.
Szállítói szerződéses előírások: NIS2 konkrét szállítói szerződéses záradékokat igényel, amelyeket az ISO 27001 nem részletez.

ISO 27001 tanúsítás lépésről lépésre: A teljes útvonal

Az ISO 27001 tanúsítási folyamat jellemzően 3-6 hónapot vesz igénybe. Íme a lépések:

1. Gap-elemzés: Felmérés: hol állnak az ISMS-ben jelenleg.
2. ISMS megvalósítása: A hiányosságok pótlása, dokumentáció, szabályzatok kidolgozása.
3. Belső audit: Saját szervezet által végzett ellenőrzés az 1-2. lépés után.
4. Tanúsító szervezet auditja: A tanúsító auditor (pl. BSI Group, Bureau Veritas, TÜV SÜD vagy Lloyd's Register) elvégzi az első (Stage 1) és második (Stage 2) fázisú auditot.
5. Tanúsítványi kibocsátás: 3 év érvényességű tanúsítvány.

Audit költségek: €8.000–25.000 között változnak a cég méretétől függően. Kisebb szervezeteknek €8.000–12.000, nagyobb vállalatoknak €20.000–25.000.

Tanúsító szervezet kiválasztása: Mire figyelj?

A megfelelő tanúsító kiválasztása kritikus a sikerhez. Az alábbi szervezetek Magyarországon és az EU-ban elismert szolgáltatók:

BSI Group: Az egyik vezető nemzetközi tanúsító, kiterjedt magyar tapasztalattal.
Bureau Veritas: Globális hálózat, magyarországi képviselettel.
TÜV SÜD: Német tanúsító, magas minőség és gyorsaság.
Lloyd's Register: Brit szervezet, EU-szerte elismert.

Válassz olyan tanúsítót, amely UKAS vagy IAF akkreditációval rendelkezik. Kérj referenciákat hasonló méretű magyarországi cégtől. Egyeztess az audit dátumáról és a konkrét költségekről még az aláírás előtt.

ISO 27001 tanúsítás üzleti előnyei a NIS2 megfelelőség mellett

Az ISO 27001 tanúsítás nemcsak a NIS2 megfelelőség eszköze, hanem önálló üzleti érték is:

Birsalevés csökkentése: NIS2 bírságok elérik a €20 millió vagy az éves bevétel 10%-át. Tanúsítás bizonyítja a szándékos erőfeszítéseket.
Nagyvállalati beszerzés: Német és nemzetközi vállalatok kötelezően ISO 27001-et kérnek szállítóitól. Tanúsítás nélkül kieshetnek szerződések.
Biztosítási díjak csökkentése: Kiberbiztonsági biztosítás 10-15%-kal olcsóbb lehet tanúsított szervezeteknél.
Ügyfélbizalom: Tanúsított szervezet magasabb versenyképességgel és jó hírnévvel rendelkezik.

Utolsó lépések: A NIS2 teljes megfelelőség elérése

Az ISO 27001 tanúsítás után végezd el az alábbi további lépéseket a teljes NIS2 megfelelőséghez:

Incidensbejelentési folyamat: Dokumentáld a 24/72 órás bejelentési kötelezettséget és a kontaktokat az NMHH felé.
Regisztráció az NMHH-nál: Lépj be a Nemzeti Média- és Hírközlési Hatóság nyilvántartásába.
Szállítói szerződések frissítése: Módosítsd a szállítói szerződéseket NIS2-kompatibilis záradékokkal.
Nemzetközi adatcsere megállapodások: Alakítsd ki az EU-s tagállamokkal való információmegosztást (amennyiben szükséges).

ISO 27001 tanúsítás előkészítési checklist

✓ Gap-elemzést végeztettem külső szakértővel
✓ ISMS-dokumentáció elkészült (információbiztonsági szabályzat, eljárások)
✓ Felelős ISMS munkacsoportot kijelöltem
✓ Risk assessment-et elvégeztem a 27001-es elvárások szerint
✓ Kontrollok megvalósítása elkezdődött
✓ Belső audit és vezetői review megtörtént
✓ Tanúsító kiválasztása és szerződés aláírása
✓ Audit dátumok és költségvetés megerősítve

Gyakori kérdések az ISO 27001 és NIS2 kapcsolatáról

Nem. Az ISO 27001:2022 körülbelül 70%-ban fedezi a NIS2 követelményeket. Szükséges még az incidensbejelentési folyamatok (24/72 óra), az NMHH-nal való regisztráció, az eu-s információcsere és szállítói szerződésmódosítások. Az ISO 27001 azonban alapvetően csökkenti az erőfeszítést.

Jellemzően 3-6 hónap, az alábbiak függvényében: a szervezet mérete, a jelenlegi biztonsági szint és a hiányosságok mértéke. A gap-elemzés 2-4 hét, az ISMS megvalósítása 6-12 hét, az audit pedig 2-4 hét.

Az audit költségek €8.000–25.000 között mozognak. Kisebb cégek (50-100 fő) körülbelül €8.000–12.000-et fizetnek, középes vállalatok (100-500 fő) €12.000–18.000-et, nagyobb szervezetek €20.000–25.000-et vagy többet. Ehhez jöhetnek a belső tanácsadás költségei.

A főbb hiányosságok: (1) 24/72 órás incidensbejelentési időhatárok, (2) nemzeti hatóságnál (NMHH) való regisztráció, (3) EU-s tagállamokkal való információcsere kötelezettség, (4) konkrét szállítói szerződéses záradékok. Ezeket a NIS2 bevezetési folyamatban kell kezelni.

A BSI Group, Bureau Veritas, TÜV SÜD és Lloyd's Register a legismertebb és legelismertebb szervezetek. Válassz olyan tanúsítót, amely UKAS vagy IAF akkreditációval rendelkezik, és referenciákat kér hasonló méretű magyar cégtől.

Igen. A tanúsítás bizonyítja, hogy a szervezet jó hittel és szisztematikusan kezeli az információbiztonságot. Ez enyhítő körülmény az NMHH és az EU szankciós eljárásaiban. A bírságok azonban a szándékos vagy súlyos hanyagság esetén továbbra is alkalmazhatók.